webシステムのセキュリティ
- webシステムを運営するにあたって、機密情報を抜きとったり、システムを動作不能にするなどの悪意のある攻撃を受ける場合がある。そこでセキュリティ対策が必要になる。
- 情報セキュリティとは「機密性」「完全性」「可用性」を維持することであり、この3つを情報セキュリティの3要素という。
- 情報セキュリティが維持できずに何らかの損失が発生する可能性があることを「リスク」と言い、リスクを実現化させる要因を「脅威」、脅威に対する弱みが「脆弱性」という。
- 実際に不正アクセスなどを受け、損失が実現化することを「リスクが顕在化する」という。
パスワードドラッキング、DoS攻撃
-
会員制サイトのような個人情報を保持しているシステムから情報を抜けれたりするサイバー攻撃の危険に晒されている。
-
IDとパスワードによる認証を行う会員制サイトからパスワードを抜き出す攻撃をパスワードクラッキングという。
-
主なパスワードクラッキングの手口として「辞書攻撃」「ブルーフォース攻撃」の2つがある。
- 辞書攻撃とは、よくパスワードに使われる単語をまとめたファイルを用意し、それを使ってログインを次々と試す手法。
- ブルーフォース攻撃とは、パスワードに使われる文字の全組み合わせをしらみつぶしに試す方法。
-
短時間に大量のアクセスを行いサーバーが処理できなくすることによって、システムを停止させる攻撃をDoS攻撃という。
-
主な手口として「SYNFlood攻撃」「F5攻撃」がある。
- SYNFlood攻撃とは、SYNパケットだけを大量に送り付け接続待ちを状態を作ることで他のユーザーがアクセスできない状態を作る攻撃。
- F5攻撃は、繰り返しアクセスし続けることでリクエストへの対応ができないレベルまでwebサーバーの負荷を高める攻撃。
webシステムの特徴を利用した攻撃
-
ログインしてから利用するようなシステムは、cookieやセッションIDを使ってアクセスしてきたユーザーを判別している。
-
cookieやセッションIDを取得することができればユーザーIDやパスワードを知らなくてもログインすることができ、容易に個人情報を取得できることをセッションハイジャックという。
- こういった攻撃を防ぐには、通信を暗号化したり、ログインと異なるIPアドレスでアクセスした場合に強制ログアウトする作りにしたりする。
-
webサーバー自体のログインパスワードを取得し、webサーバーへの不正にログインするなどに攻撃をディレクトラバーサルという。
- リクエストに含まれるURLのチェックを行い、公開していないファイルが指定されていないかを確認することで防げる。
webシステムの脆弱性
- 脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥。
- セキュリティホールとは、ソフトウエア製品の欠損により、権限がないと本来できないはずの操作が権限を持たないユーザーにも実行できてしまったり、見えべきでない情報が第三者にみえてしまうような不具合。
- 発見されたセキュリティホールは、脆弱性情報データベースとしてデータベースで管理され、一般公開されることで自身の管理するシステムのセキュリティホールを知ることがきる。
- セキュリティホールに対する修正プログラムが開発される前に攻撃を仕掛けることをセロデイ攻撃という。
ファイアーウォール
- サービスに必要な通信だけを許可し、それ以外の通信を拒否することを考え、インターネットと内部ネットワークの間に設置することでデータの監視、通信の拒否・許可を行うものがファイアーウォールである。
- ファイアーウォールにもいくつか方式があり、最も広く使われるのがパケットフィルタ型と呼ばれるもの。
- 通信されるデータのIPアドレスとポート番号をチェックし、通信の許可・拒否を行なっている。
- ファイアーウォールにもいくつか方式があり、最も広く使われるのがパケットフィルタ型と呼ばれるもの。
IDS,IPS
- ファイアーウォールで防ぎきれない攻撃を防ぐ手段して2つの方法がある。それがIDS(inter Detection System)とIPS(Intruon Prevenon System)である。
- 二つとも、ファイアーウォールを通り抜けてきた通信を監視する機能がある。
- IDSは、不正アクセスをみなし、報告するが、通信を通す。
- IPSは、不正アクセスとみなし、報告し、通信も行わせない。
- IDS,IPSの不正アクセスの検知方法は「シグネチャー型」「アノマリー型」の2つがある。
- シグネチャー型とは、攻撃パターンが保存されているデータベースのことで、それと一致する通信パターンを不正アクセスと判断する。
- アノマリー型とは、通常は発生しないような通信を不正アクセスと判断する。
WAF
- WAF(Web Application Firewall)とは、やり取りされている通信の中身をみて悪意のあるデータがふくまれていないかチェックする機能。
- ブラックリスト型とは、特定の悪いデータをみつけて通信を制限する方法。
- イメージ的には、情報の中から悪い情報を抜くイメージ。
- ホワイトリスト型とは、正常なデータパターンを登録しておき、それと合致するものを通す。
- イメージ的には、情報の中から良い情報を抜き出すイメージ。
公開鍵証明書
- やり取りしている人が本物かを判断する証明が公開鍵証明書。
- SSL通信の公開鍵の証明に使われるためSSL証明書ともいう。
- 公開鍵証明書の役割は2つある。
- HTTPS通信に使うための公開鍵の持ち主が誰なのかを証明すること。
- 公開鍵の持ち主が実在することを証明すること(実在証明)。
- 公開鍵証明書の偽造は、できない構造になっており、もし偽造があった場合は感知できる仕組みになっている。
CAPTHA
- プログラムを用いたWebサービスの悪用を防ぐために考案されたのがCAPYHA(チャプチャ)。
- コンピュータと人間を区別するためのテストを行う。
- 画像を選んだり、文字画像を読んだりする認証を行うことで人間とコンピューターを区別し、アクセスの不正防止をおこなっている。